醫院信息系統數據安全防范及策略探討

林 耀，趙 蕾

（解放軍第九六七醫院 遼寧 大連 116041）

1 引言

醫院信息系統作為醫院醫療信息的基礎設施之一，為醫院醫療服務、行政管理、日常運行發揮著重要的作用，其中涉及了信息數據收集處理、存儲傳輸等多個功能。當前，隨著科技的發展，醫院的信息化建設水平也在不斷提高，該系統的應用越發廣泛，功能也日漸豐富，數量持續增加。在此背景下，該系統的應用也面臨了更多的安全風險，數據安全受到威脅，導致系統運行受到影響，為保證系統持續發展，必須要提高系統安全性，解除數據安全威脅。

2 醫院信息系統數據安全概述

2.1 系統功能

為了提高醫院信息系統數據安全性，該系統必須要具備以下幾個功能：（1）具備用戶名和口令識別功能，以及權限管控、數據信息加密和審計等功能；（2）系統權限劃分合理；（3）具備數據表查看、建立、修改等權限；（4）具備記錄用戶具體操作功能；（5）具備審計功能，準確記錄數據庫服務器和系統命令使用情況，同時對風險類型進行事前評測，了解系統中可能存在的風險，進而及時采取措施解決[1]。

2.2 安全評價

醫院信息系統數據安全性評價主要體現在以下幾方面：（1）完整性。系統中存儲的信息數據要保證全面完整，不會因為安全風險出現變化，并保證系統和數據不會被損壞、修改。數據完整性主要包括內容、參照、數據域和用戶自定義等方面的完整要求。（2）可靠性。系統運行要保證正常穩定，全部功能得以應用，不會因為故障或人為失誤導致數據丟失[2]。為保證數據可靠，醫院需采取數據備份和恢復方式，系統可自動預警，并進行修復，保證數據安全。（3）保密性。系統管理需由合法授權人員實現，其可以獲取加密信息，信息獲取后，人員根據需求固定使用，不可外泄。

3 醫院信息系統數據安全威脅因素

3.1 主動威脅

主動威脅是指對數據安全產生最大威脅的因素，其包括內外部非法數據的訪問。此類威脅類型如下所示。

（1）惡意訪問。該行為是出于特定目的，為獲取系統授權下，采用非法手段訪問系統數據信息，這類行為實施者一般為內部人員，通過關鍵指令猜測、植入木馬等手段獲取訪問權限，規避系統安全管理程序，非法獲取資源。有些惡意訪問人員出于利益因素，越權獲取關鍵信息，將其傳輸給他人。

（2）篡改數據。該行為通常是指數據庫中與核心業務有關的信息被非法篡改，該行為的實施人也是出于特定目的。例如藥房人員為平賬篡改庫存信息，改變醫保藥品目錄，或是未經同意隨意篡改病患信息等行為不僅導致他人合法權益被侵害，同時也影響了了醫療機構與醫療工作者良好的社會形象。

（3）服務干擾。該行為通常是使用非法手段干擾系統運行環境，影響系統正常運行。比如，應用網絡數據阻塞系統網絡通道，重新編排數據，通過干擾新系統，阻礙系統運行，甚至導致系統癱瘓。

3.2 被動威脅

被動威脅是指由于設備故障或是人為操作失誤導致的數據威脅。其中，人為操作失誤是醫院人員由于疏忽誤操作，或是由于客戶端漏洞無意導致數據被破壞。例如操作人員清理系統時不慎清除需要保存的信息，或是將病人數據混淆，導致診療信息混亂等。而設備故障則是因為設備硬件問題導致的系統非常規運行，其主要是指網絡故障和服務器故障，前者會導致醫院網絡整體使用出現問題，這一現象多是由于交換機或網線出現問題產生的，需要檢測設備狀態，若是交換機出現問題導致網絡無法正常運行，需要及時啟動備用設備保證網絡運行；后者問題表現多樣，主板、硬盤或其他部件都可能出現故障，維修人員需要查找問題原因并采取相應的解決措施。

4 醫院信息系統數據安全防范策略概述

4.1 建立數據安全保障體系

（1）建立網絡平臺。醫院信息系統遵循專網專用原則，首先需要建立健全病毒防范體系，設置內部專用網絡平臺系統，并保證系統建設和運行安全、穩定，實現數據共享交換。我院信息系統嚴格落實內外網物理隔離、并通過安裝網絡版局域網管理軟件和單機U盤封控軟件結合的方式禁用U盤等移動載體，使病毒、木馬的流通渠道從根本上被切斷。同時，選擇能覆蓋各醫療區域的點位集中安裝專用的服務器、交換機等設施，避免因錯接線路引發網絡廣播風暴。

（2）正確處理數據備份。由于醫院服務特殊，其需要建立完備的數據備份和動態存儲全天候數據庫恢復機制，利用實際動態數據存儲將數據威脅消除，恢復數據庫內容[3]。通常會應用冗余與工作日志配合的方法來恢復數據，同時定期監測審計系統，以保證數據完整有效?？赏ㄟ^雙活容災系統，建立主備機房服務器集群建立業務資源池，如條件不具備也可設立備用服務器或服務器集群，若是某一虛擬服務器或服務器集群由于各種原因發生故障無法提供服務，虛擬主機會實現自動遷移，繼續提供服務。

（3）建立數據庫管理和安全保障體系。該體系的建立是為了保證醫療數據不會外泄，對于機密醫療數據，醫院需要采取強制存儲控制值，并處理標識數據，與數據庫管理系統授權機制結合，針對不同用戶配置相應的訪問權限。同時，醫院也會授權一些患者系統查詢權限，利用子系統提供相應的服務，為患者提供病歷查詢、繳費、掛號等服務。此外，網絡環境下，醫院還需要建立數據安全保障體系，通過建立安全風險評估機制對醫院信息系統其中可能出現的風險進行評估和關聯，并制定應急預案，降低醫院損失。我院針對不同崗位的醫院工作人員如醫生、護士、收款員、藥品、物資及行政管理人員等設置了不同權限，如需增加或修改權限必須由科室負責人及分管領導審批。同時定期對人員權限進行審核，對崗位調動或離職的工作人員權限及時進行更改或凍結。并通過數據庫行為管控系統對私自更改用戶權限或提取敏感醫療數據等行為進行記錄和審計。

4.2 建立硬件設備安全保障體系

（1）設置密碼。為保護電腦內部資料，我院計算機嚴格禁止移動載體接入，并統一設置電腦密碼，啟動自動屏保功能，屏保退出時需輸入相應的密碼，不同科室、診室密碼不同，具有獨立性。

（2）殺毒軟件。殺毒軟件能夠有效防止病毒入侵，可以安裝單機或企業版殺毒軟件，避免病毒造成終端系統崩潰或攻擊服務器。我院統一安裝了企業版殺毒軟件，并定期更新病毒庫，定期對電腦進行掃描，可對所用終端進行監控，清除病毒及木馬，以保證系統安全。

（3）容錯和冗余。醫院信息系統需要為硬件社會提供容錯和冗余功能。例如我院采用SAN網絡傳輸與鏈路聚合用于交換機單點故障屏蔽，為醫院信息系統提供業務持續進行保障。同時，在磁盤陣列設置Hot-Spare硬盤、RAID策略等，定對機房進行安全巡視，檢查磁盤陣列運行情況，并及時更換故障硬盤，避免數據丟失，確保數據完整。

4.3 我院在信息系統數據安全防范方面的幾種具體做法

下面介紹一下我院的具體做法，僅供大家參考：

4.3.1 服務器群集的設置

圖1 服務器群集設置示意圖

如圖1所示，共有4臺服務器構成服務器群集，通過虛擬機管理平臺（VCenter）管理醫院各項業務所需的虛擬服務器（如HIS服務器、PACS服務器、LIS服務器等），如某一虛擬服務器因系統故障意外關閉，則虛擬機管理平臺會自動重啟服務器以保證服務不間斷。如某一服務器出現硬件故障造成癱瘓，則可通過自動或手動方式將其掛載的虛擬服務器轉移至其他物理主機。

各虛擬服務器數據均集中儲存于磁盤陣列中，物理服務器通過SAN網絡與磁盤陣列連接，確保了數據的高速穩定傳輸。磁盤陣列采用Raid5策略，如有個別硬盤損壞，只需更換新硬盤并加入陣列即可，不會造成數據的丟失。

4.3.2 核心交換機的設置

圖2 核心交換機設置示意圖

如圖2所示，大型物理服務器一般有4個（或更多）以太網接口，接入核心交換機的1～4網口，通過鏈路聚合，即將多個數據信道合成一個邏輯鏈路，實現出/入流量在各成員端口中的負荷分擔，在實現數據高速傳輸的同時避免了因交換機單點故障造成的服務中斷。核心交換機5網口設置為端口鏡像，將與服務器連接的1～4網口inbound、outbound方向的數據全部鏡像至5網口，并連接至行為管控系統，實現對全部數據庫行為的監控和記錄，如有非法統計敏感醫療數據或增刪、更改數據表或用戶權限等危險行為，則會實時告警。6～10網口接入各科室，并未在不同區域設置VLAN，在拓展局域網IP地址資源的同時避免了大范圍網絡廣播風暴的出現。

5 結語

近年來，我國各大醫院廣泛應用信息系統，系統安全風險也受到各界關注。為了保證醫院信息系統數據安全，促進數據安全管理工作，需要對其安全威脅進行深入分析，當前，醫院信息系統數據安全威脅可以分為主動和被動兩種，對此，本文提出建立網絡平臺、正確處理數據備份并建立數據庫管理和安全保障體系、建立硬件設備安全保障體系等措施，以提高醫院數據安全性，確保醫院信息系統能夠安全穩定運行。